Usenix : Un autre hack de voiture à distance

Une équipe de chercheurs de l’UCSD (University of California at San Diego) a pu hacker (dans le cadre de la conf Usenix) une Chevrolet Corvette de 2013 pour contrôler ses essuies-glace et ses freins.

La marque et le prestige de l’automobile sont à mettre à part puisque la vulnérabilité n’est pas à imputer à General Motors mais plutôt à Mobile Devices, une entreprise française qui fournit des périphériques On Board Diagnostics.

ODB2 est une interface (une prise) sur laquelle votre garagiste se branche pour obtenir des infos sur la voiture et communiquer avec elle.
Avant de hacker à distance des Jeeps, Charlie Miller et Chris Valasek avaient déjà montré comment il était possible de contrôler une voiture via un accès à cette fameuse prise.

Les chercheurs de l’UCSD ont simplement fouillé le cran au dessus : pirater les périphériques branchés sur la prise ODB2.
Un dongle comme celui développé par Mobile Devices est utilisé par exemple par les société d’assurances qui se proposent de baisser le prix des bons conducteurs en surveillant leur habitudes de conduite.

Seulement, soit le software sur le dongle est faillible, soit c’est l’application rajoutée par la compagnie d’assurance qui est vulnérable.
Les chercheurs de l’UCSD ont indiqué que le dongle analysé était en mode développeur, accessible avec serveur SSH crackable, sans compter que le périphérique exécute aveuglément les SMS qu’il reçoit (sans authentification)…

La faille aurait été corrigée chez Mobile Devices mais on peut s’attendre à la croiser chez des entreprises fournissant du matériel similaire.